-
Path: news-archive.icm.edu.pl!news.rmf.pl!agh.edu.pl!news.agh.edu.pl!news.onet.pl!lub
lin.pl!news.nask.pl!news.nask.org.pl!news.germany.com!postnews.google.com!n33g2
000cwc.googlegroups.com!not-for-mail
From: "kravietz" <p...@n...hush.com>
Newsgroups: pl.soc.prawo
Subject: Re: ALLEGRo - po raz drugi...
Date: 1 Mar 2007 14:45:26 -0800
Organization: http://groups.google.com
Lines: 67
Message-ID: <1...@n...googlegroups.com>
References: <erg039$hlf$1@news.dialog.net.pl>
<45dc8a8d$0$13175$f69f905@mamut2.aster.pl>
NNTP-Posting-Host: 89.79.168.96
Mime-Version: 1.0
Content-Type: text/plain; charset="iso-8859-2"
Content-Transfer-Encoding: quoted-printable
X-Trace: posting.google.com 1172789143 5830 127.0.0.1 (1 Mar 2007 22:45:43 GMT)
X-Complaints-To: g...@g...com
NNTP-Posting-Date: Thu, 1 Mar 2007 22:45:43 +0000 (UTC)
In-Reply-To: <45dc8a8d$0$13175$f69f905@mamut2.aster.pl>
User-Agent: G2/1.0
X-HTTP-UserAgent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.2)
Gecko/20070219 Firefox/2.0.0.2,gzip(gfe),gzip(gfe)
Complaints-To: g...@g...com
Injection-Info: n33g2000cwc.googlegroups.com; posting-host=89.79.168.96;
posting-account=7WbZ8w0AAADxpZb9Cwcm7ua0phoZ-flw
Xref: news-archive.icm.edu.pl pl.soc.prawo:449315
[ ukryj nagłówki ]On 21 Lut, 20:31, gerlach <g...@l...com> wrote:
> Twój przypadek udowadnia, że mechanizmy autoryzacji użytkowników i
> zapewnienia bezpieczeństwa w Allegro są niewystarczające do
> przeprowadzania transakcji finansowych na duże kwoty.
Zgadza się, bo analiza ryzyka podpowiada że przy takich transakcjach
koszt ataku może być zrekompensowany wysokim zyskiem dla złodzieja, co
czyni całe przedsięwzięcie opłacalnym.
> Żeby to udowodnić proponowałbym się oprzeć na porównaniu do:
> 1. Warunków jakie musi spełniać kwalifikowanypodpiselektroniczny
> (którego podstawowym celem jest właśnie w celu zawierania umów przez
> internet)
Tylko że kwalifikowanego podpisu elektronicznego nikt nie używa
(http://ipsec.pl/) właśnie ze względu na jego bezpieczeństwo - z
wysokim bezpieczęństwem wiąże się zwykle wysoka nieużywalność :)
> Np. w systemach bankowości elektronicznej:
> 1. Całość transmisji jest szyfrowana i jest prowadzona po bezpiecznym
> protokole SSL lub TLS. W Allegro większość transmisji jest przesyłana w
> sposób umożliwiający podsłuch i przejęcie sesji przez kogoś innego.
> Istnieje nawet opcja nieszyfrowanego logowania!
Bo pewnie oszczędzają na akceleratorach SSL :) Nawiasem mówiąc ataki
na sesje opisywane przez hacking.pl były mocno przesadzone, bo Allegro
na każdym kroku się przed tym broni (nawet pomimo braku SSL) - zauważ,
że wymaga ponownego zalogowania przed krytycznymi operacjami i ma
bardzo krótki czas ważności sesji (kilka minut). Nie zdziwiłbym się
gdyby robili także regenerację PHPSESSID.
> 2. Banki do autoryzacji wykorzystują:
> - (najczęściej tajny) login,
> - tajne hasło, w większości przypadków o wymuszanej sile (długości,
> rodzaju występujących znaków).
> - hasła jednorazowe ze zdrapek lub tokena - tzn. dla każdej istotnej
> operacji hasło jest różne
Nawiasem mówiąc, polskie zdrapki pozytywnie wyróżniają się na tle
banków w innych krajach - zwłaszcza anglosaskich, gdzie tego typu
rozwiązań nie wprowadzano by nie utrudniać życia użytkownikom aż do
zeszłego roku (a w Polsce miał tak Citibank, który ma serwery w
Singapurze nawiasem mówiąc).
--
Wojciech Gustowski "E-społeczność" (e-book)
http://e-spolecznosc.zlotemysli.pl/pdfebook.php
"Dane i bezpieczeństwo" (free e-book)
http://ipsec.pl/contrib/Dane%20i%20bezpieczenstwo.pd
f
Bartosz Danowski i Łukasz Kozicki "Spam. Profilaktyka i obrona" (e-
book)
http://zwalcz-spam.zlotemysli.pl/pdfebook.php
Najnowsze wątki z tej grupy
- Nordstrim
- obostrzenia
- ilość węzłów sanitarnych w biurowcu
- Korekta prognozy
- ROBERT GWIAZDOWSKI: PO CO NAM ZWIĄZKI PARTNERSKIE?
- Czy można orzekać po pijaku?
- reparacje
- ustawienie przetargu
- Przeszukiwanie baz i netu
- Mini Netykieta polskich grup dyskusyjnych
- Re: Jak wypełnić polecenie francuskiego sądu blokowania niektórych zapytań DNS? Blokując Francję
- Re: Powtórne wezwanie na PO-komisję uzdrowi Ziobrę już w 10 dni
- Re: Jak wypełnić polecenie francuskiego sądu blokowania niektórych zapytań DNS? Blokując Francję
- Re: Jak Sejm się przygotował na M. Wosia na PO-komisji rewizją/przeszukaniem w hotelu sejmowym
- AKCJA "PAPROTKA". KURIOZALNY PROJEKT MINISTERSTWA SPRAWIEDLIWOŚCI
Najnowsze wątki
- 2024-07-06 Nordstrim
- 2024-07-06 obostrzenia
- 2024-07-05 ilość węzłów sanitarnych w biurowcu
- 2024-07-04 Korekta prognozy
- 2024-07-04 ROBERT GWIAZDOWSKI: PO CO NAM ZWIĄZKI PARTNERSKIE?
- 2024-07-03 Czy można orzekać po pijaku?
- 2024-07-02 reparacje
- 2024-07-02 ustawienie przetargu
- 2024-07-02 Przeszukiwanie baz i netu
- 2024-07-01 Mini Netykieta polskich grup dyskusyjnych
- 2024-07-01 Re: Jak wypełnić polecenie francuskiego sądu blokowania niektórych zapytań DNS? Blokując Francję
- 2024-07-01 Re: Powtórne wezwanie na PO-komisję uzdrowi Ziobrę już w 10 dni
- 2024-06-30 Re: Jak wypełnić polecenie francuskiego sądu blokowania niektórych zapytań DNS? Blokując Francję
- 2024-06-28 Re: Jak Sejm się przygotował na M. Wosia na PO-komisji rewizją/przeszukaniem w hotelu sejmowym
- 2024-06-27 AKCJA "PAPROTKA". KURIOZALNY PROJEKT MINISTERSTWA SPRAWIEDLIWOŚCI